1. REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
Auditoria
Autor(a):
Br. Hussien Castillo, Mardam
C.I. 18.550.928
Porlamar, Julio del 2013

2. 1.1CARACTERIZACIÓN DE LA EMPRESA
1.1.1 NATURALEZA DE LA EMPRESA
RattanHypermarket C. A., inicia en el año 1978, con la apertura de una
tiendadedicada a la venta de Blue Jeans importados por sus dueños, con el
nombre deJean’s ShopC. A. Actualmente, RattanHypermarket C.A., realiza
sus operacionesenmarcadas en la actividad netamente económica que
ofrece el Puerto Libre de laIsla de Margarita y la Zona Libre de Paraguaná,
ofreciendo la más completavariedad en la venta de artículos para el hogar,
supermercado, ferretería, jardinería, bodegón, juguetería, lencería, cristalería,
electrodomésticos, entreotros, tanto nacionales como
importados.RattanHypermarket C. A. es una empresa dedicada a la
comercialización deproductos nacionales e importados, prestadora de
servicios, de acuerdo a lasdisposiciones legales del país y en especial la
regulada por el Puerto Libre de laIsla de Margarita.
1.1.2 UBICACIÓN GEOGRÁFICA
La empresa de RattanHypermarket C. A., se encuentra ubicada en la
Av. 4 de Mayo, entre la Calle Fermín y Santiago Mariño; Sector Genovés.
Centro Comercial Rattan, Porlamar – Isla de Margarita, Edo. Nueva Esparta
– Venezuela.

3. 1.1.3 VISIÓN
Ser la tienda líder, por departamento garantizando el mejor servicio a
sus clientes, así como la mayor variedad y calidad en sus productos
nacionales e importados.
1.1.4 MISIÓN
Ser líderes en cadenas de tiendas por departamento diferenciados por
la innovación, la calidad de servicio, la variedad y calidad de los productos
ofrecidos con el fin de satisfacer en forma óptima las necesidades de
nuestros clientes y obtener una rentabilidad adecuada, contando para ello
con un personal altamente comprometido con la organización.

4. 1.1.5 OBJETIVOS ESTRATEGICOS
1.1.5.1 ANÁLISIS FODA
FORTALEZAS DEBILIDADES
 Excelente calidad de los
servicios.
 Variedad de productos.
 Precios accesibles.
 Buenas relaciones humanas
con los clientes y
consumidores.
 Innovadores.
 Apoyo a la comercialización
de productos nacionales.
 Presupuesto publicitario
limitado.
 Deficiencia en la publicidad
de exteriores y material
POP.
 Poca publicidad en medios
de comunicación masiva
(televisión, radio).
OPORTUNIDADES AMENAZAS
 Ampliación del mercado.
 Apertura de nuevas
sucursales a nivel regional.
 Captar nuevos segmentos
de mercado.
 Rápido crecimiento.
 Conseguir mejor
posicionamiento en el
mercado.
 Creación de nuevos
mercados.
 Crecimiento de los
competidores.
 Aumento de los precios en la
canasta familiar.
 La crisis económica actual.
 Incremento en número de
competidores.
 La inflación.

5. 1.1.5.2 METAS ORGANIZACIONALES
a.- Corto Plazo: Mantenerse abastecido para satisfacer las
necesidades del cliente.
b.- Mediano Plazo: Realizar constante innovaciones en el ámbito
tecnológico y proveer óptimos adiestramientos al personal d la empresa.
c.- Largo Plazo: Alcanzar la máxima expansión demográfica a nivel
nacional.
1.1.6 ORGANIGRAMA DE LA EMPRESA

6. 1.1.6.1 DESCRIPCIÓN DE LOS PROCESOS Y FUNCIONES
a.- Gerencia General: Es la persona encargada de llevar las riendas
de la empresa y tomar las decisiones importantes que define el destino de la
misma.
Funciones:
 Planeación general.
 Contratación con terceros.
 Relaciones con instituciones gubernamentales y organizaciones
privadas.
 Cumplimiento del objeto social.
b.- Departamento de Planeación y Comercial: Este departamento es
el encargado del control de productos además de brindar apoyo en el ámbito
de mercadeo y ventas apoyándose en estudios de mercado.
Funciones:
 Plantear estrategias de compra y venta.
 Mantener control de almacenamiento.
 Buscar nuevas formas de marketing.
c.- Departamento de Administración: Comprende todas las
operaciones donde se maneje dinero además de brindar asesorías sobre las
tomas de decisiones en el ámbito de inversión.

7. Funciones:
 Informes financieros a Gerencia General.
 Teneduría sistematizada de libros.
 Control de inventarios.
 Elaboración de nómina.
 Gestión de Cobros y pagos en mora.
 Estudios de costos.
d.- Departamento de Informática:Abarca todas las funciones
sistemáticas y tecnológicas que permiten el funcionamiento óptimo de la
empresa.
Funciones:
 Prevenir y solucionar fallas en equipos utilizados para almacenamiento
de datos y comunicación.
 Mantener actualizada la página web para brindar información reciente
a los clientes.
1.2METODOLOGÍA COBIT
1.2.1 MODELO DE MADUREZ
Permite que una organización pueda escoger el nivel o grado de
madurez al que desea llegar, es decir, después de realizada la evaluación a
cada proceso de tecnología de la empresa, este puede ser ubicado en un
determinado nivel de madurez. Para la gestión de la seguridad de la
información se orienta a medir la madurez sin depender de procesos de

8. análisis de riesgo sino enfocados en los requisitos del negocio (solo
tecnología y controles basados en ISO/IEC 13335). Esto indica que cada
área de proceso puede estar valorada con una madurez diferente, y no
determina un nivel de madurez de la seguridad de la información de forma
global para toda la organización. A continuación se muestra los niveles de
madurez:

9. 1.2.2 AUDITORIA DE TICS APLICANDO COBIT
1.2.2.1. Área a auditar
La auditoría será realizada en el Departamento de Informática de
RattanHypermarket C.A.,debido a que maneja gran parte de la información
que compete a la empresa en todas sus áreas.
1.2.2.2. Procesos de recolección de información
La información se obtuvo mediante la observación directa a los
procesos que se realizan dentro de la empresa, así como una entrevista no
estructurada a uno de los empleados del Departamento de Informática todo
esto con el fin de poder dar una apreciación especifica de los problemas.
1.2.2.3. Documentos de gestión en el área de informática
Cabe destacar que el departamento de informática
deRattanHypermarket C.A., no cuenta con los documentos necesarios que
sirvan de soporte a los procesos que allí se realizan, los cuales serían:
 Manual de servicio técnico.
 Manual de los equipos.
 Manual de manejo de datos.
1.2.2.4. Plan de la auditoria en el área de informática
Para la auditoría en el área de informática se pretende realizar los
siguientes procesos:

10. 1.- Observación directa de los procesos que se realizan.
2.- Entrevista no estructuradas a uno de los empleados del departamento.
3.- Analizar cada uno de los recursos con que se cuenta.
4.- Analizar los niveles de seguridad.
5.- Analizar la confiabilidad de los datos respaldados.
1.2.2.5. Herramientas y técnicas
Para realizar la recolección de datos se utilizó una libreta de apuntes,
además de lapiceros en el proceso de observación directa; así como una
guía de entrevista no estructurada.
1.2.2.6.Motivo o necesidad de la auditoría
 Inseguridad de la información respaldada.
 Muestra de descoordinación y desorganización.

11. 1.2.2.7. Modelo de madurez a nivel cualitativo (coso)
OBJETIVOS DE
CONTROL DE COBIT
CRITERIOS DE
INFORMACIÓN DE
COBIT
RECURSOS DE
TI DE COBIT
Efectividad
Eficiencia
Confiabilidad
Cumplimiento
Confidencialidad
Integridad
Disponibilidad
Datos
Aplicaciones
Tecnología
Instalaciones
Personal
PLANEAR Y ORGANIZAR
PO1
Definir el Pan
Estratégico TI
P S X X X X X
PO2
Definir la arquitectura
de la información
S P S P X X
PO3
Determinar la dirección
tecnológica
P P X X
PO4
Definir procesos,
organización y
relaciones de TI
P P X
PO5
Administrar la
inversión en TI
P P S X X X
PO6
Comunicar las
aspiraciones y la
dirección de la
gerencia
P S X X
PO7
Administrar recursos
humanos de TI
P P X
PO8 Administrar calidad P P S S X X X X X
PO9
Evaluar y administrar
riesgo de TI
S S P S S P P X X X X X
PO10 Administrar proyectos P P X X X
PO11
Administración de
calidad
P P S P S P S X X X X X
Adquirir e implementar
AI1
Identificar soluciones
automatizadas
P S X X X

12. AI2
Adquirir y mantener el
software aplicativo
P P S S X X
AI3
Adquirir y mantener la
infraestructura
tecnológica
S P S S X
AI4
Facilitar la operación y
el uso
P P S S S S X X X
AI5 Adquirir recursos de TI S P S X X X X X
AI6 Administrar cambios P P P P X X X X X
Monitorear y evaluar
ME1
Monitorear y evaluar el
desempeño de TI
P P S S S S S X X X X X
ME2
Monitorear y evaluar el
control interno
P P S S S S S X X X X X
ME3
Garantizar el
cumplimiento
regulatorio
S P X X X X X
ME4
Proporcionar gobierno
de TI
`
P
`
p
S S S S S X X X X X
Prestación y soporte
DS1
Definir y administrar
niveles de servicio
P P S S S S S X X X X X
DS2
Administrar servicios
de terceros
P P S S S S S X X X X X
DS3
Administrar
desempeño y
capacidad
P P S X X
DS4
Garantizar la
continuidad del
servicio
P S P X X X X X
DS5
Garantizar la
seguridad de los
sistemas
S S P P S X X X X X
DS6
Identificar y asignar
costos
P P X X X X X
DS7
Educar y entrenar a
los usuarios
P S X
DS8
Administrar la mesa de
servicio y los
incidentes
P P X X

13. DS9
Administrar la
configuración
P S S S X X X X
DS10
Administrar los
problemas
P P S X X X X X
DS11 Administrar los datos P P X
DS12
Administrar el
ambiente físico
P P X
DS13
Administrar las
operaciones
P P S S S S S X X X X X
Las variables definidas dentro del control para los objetivos de control
COBIT son: dentro de los criterios de información de cobit, (p) cuando el
objetivo tiene impacto directo al requerimiento; (s), cuando el objetivo de
control tiene impacto indirecto es decir no completo sobre el requerimiento, y
finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto
sobre el requerimiento, en cambio cuando se encuentra con (x) significa que
los objetivos de control tienen impacto en los recursos, y cuando se
encuentra en blanco ( ), es que los objetivos de control no tienen ningún
impacto con los recursos.

14. CAPÍTULO II: EJECUCIÓN DE LA AUDITORÍA
2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS
2.1.1. Objetivos del departamento.
 Adquisición e instalación de hardware y software para el
funcionamiento de los equipos de la empresa.
 Mantener la seguridad en los datos almacenados realizando
respaldos periódicos.
 Diseño y mantenimiento la página web de la empresa para
proporcionar y un medio de difusión masivo.
 Proveer herramientas que brinden seguridad ante distintas amenazas
informáticas
 Mantener el funcionamiento óptimo de las redes internas y sus
componentes.
2.1.2. Organigrama del departamento.

15. 2.1.3. Seguridad del departamento.
a.- Seguridad Física:
 Agentes capacitados para la seguridad las veinticuatro (24) horas del
día.
 Dispositivos capases de prevenir y responder ante incidentes
(Extintores, detectores de humo, entre otros).
 Cumple con las normativas propuestas para la seguridad.
b.- Seguridad de la información:
 Restringir el acceso de usuarios a la información almacenada.
Realizar copias de seguridad periódicas para prevenir perdidas de
datos importantes para la empresa.
 Mantener activado y actualizados los componentes que tienen como fin
repeler amenazas informáticas (antivirus, firewall).
c.- Seguridad del personal:
 Equipamientos de protección para cada una de las personas que
laboran en el departamento.
 Señalizaciones que permitan la protección de las personas.
2.1.4. Características de la plataforma tecnológica.
El departamento de informática del RattanHypermarket C. A en el
ámbito tecnológico cuenta en su inventario con 5 computadoras las cuales se
encuentran en funcionamiento y cuya descripción es la siguiente:

16. Hardware:
Cantidad Utilidad Características
3
Sistemas de
Información
CPU Inter Celeron 2.5 GHz
Memoria RAM 2 Gb
Disco Duro S-ATA 7200 1 Tb
Monitor ADC 17``
Tarjeta de red PCI-IEEE 802.11b/g
1 Soporte Técnico
CPU Inter Celeron 2.5 GHz
Memoria RAM 2 Gb
Disco Duro S-ATA 7200 1 Tb
Monitor ADC 17``
Tarjeta de red PCI-IEEE 802.11b/g
1 Servidor Proxy
CPU Inter Celeron 2.5 GHz
Memoria RAM 4 Gb
Disco Duro S-ATA 7200 1 Tb
Software:
Cantidad Sistema Operativo
5 Microsoft Windows 7 Ultimate, service pack 2

17. 2.1.5 Determinación de los problemas y planteamiento de hipótesis
2.1.5.1. Posibles problemas.
Falta de manuales que sirvan de soporte en diversos ámbitos como
seguridad y mantenimiento de información.
Inexistencia de guía o manual de usuario que facilite el uso del sistema
de información a los usuarios.
 Poca organización a la hora de definir tareas dentro del departamento.
2.1.5.2Formulación de hipótesis
La falta de manuales de seguridad pueden acarrear diversos problemas
ante posibles incidentes por no tener conocimiento concreto de cómo
reaccionar ocasionando pérdidas tangibles e intangibles, aunado a esto la
inexistencia de guías de soporte técnico pueden causar malas instalaciones
o mantenimiento erróneos de dispositivos destinados a comunicaciones y
almacenamiento de datos los cuales causarían retrasos a las operaciones de
la empresa.
2.2 APLICACIÓN DE LA AUDITORIA.
2.2.1. Modelo de madurez de los procesos.
A continuación se realizara la relación entre los objetivos y el modelo de
madurez para determinar el nivel de la empresa con relación a los distintos
aspectos de la metodología COBIT 4.1.

18. Dominio: Planificar y Organizar
PO1: Definir el Plan Estratégico de Tecnología de la Información
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
La planeación estrategia de TI se
discute en forma ocasional en las
reuniones de la gerencia
V
GRADO DE MADUREZ:
El proceso de definir el plan
estratégico de la tecnología de
información está en el nivel de
madurez 2.
OBJETIVOS NO CUMPLIDOS:
 La planeación estratégica
no sigue un enfoque
estructurado.
 No se realizan planes a
largo plazo.
Nivel
2
Las decisiones estratégicas se toman
proyecto por proyecto, sin ser
consistente con una estrategia global
de la organización.
V
Nivel
3
La planeación estratégica de TI sigue
un enfoque estructurado el cual se
documenta y se da a conocer a todo el
equipo. Las estrategias de recursos
humanos, técnicos y financieros de TI
influencia cada vez más la adquisición
de nuevos productos y tecnología.
V
Nivel
4
Existen procesos bien definidos para
determinar el uso de recursos internos
y externos requeridos en el desarrollo
de las operaciones de los sistemas.
V
Nivel
5
Se desarrolla planes realistas a largo
plazo de TI, y se actualizan de manera
constante para reflejar los cambiantes
avances tecnológicos y el progreso
relacionado al negocio.
V
RECOMENDACIONES:
 Plantear planes a largo plazo.
 Plantear ideas que ayuden directamente a la toma de decisiones de la empresa.

19. Dominio: Planificar y Organizar
PO2: Definir la Arquitectura de la Información.
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
La gerencia reconoce la necesidad de
una arquitectura de información. El
desarrollo de algunos componentes de
una arquitectura de información que
ocurre de manera ad hoc.
V
GRADO DE MADUREZ:
El proceso de definir la
arquitectura de la información
está en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
 Poca experiencia del
personal en el uso de
las herramientas de la
arquitectura de la
información.
 No se realizan propuestas
para resolver
necesidades futuras.
Nivel
2
Las personas obtienen sus habilidades
al construir la arquitectura de
información por medio de experiencia
práctica y la aplicación repetida de
técnicas.
V
Nivel
3
Existe una función de administración
de datos definida formalmente, que
establece estándares para toda la
organización, y empieza a reportar
sobre la aplicación y uso de la
arquitectura de la información.
V
Nivel
4
El proceso de definición de la
arquitectura de información es
proactivo y se enfoca en resolver
necesidades futuras del negocio.
V
Nivel
5
El personal de TI cuenta con la
experiencia y las habilidades
necesarias para desarrollar y dar
mantenimiento a una arquitectura de
información robusta y sensible que
refleje todos los requerimientos del
negocio.
V
RECOMENDACIONES:
 Desarrollar una sólida arquitectura de la información.
 Brindar experiencia sobre el manejo de una estructura de datos.

20. Dominio: Planificar y Organizar
PO3: Determinar la Dirección Tecnología
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
La gerencia reconoce la necesidad de
planear la infraestructura tecnológica.
El desarrollo de componentes
tecnológicos y la implantación de
tecnologías emergentes son ad hoc y
aisladas.
V
GRADO DE MADUREZ:
El proceso de Determinar la
Dirección Tecnología está en el
nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
 No se establece un rumbo
tecnológico el cual
pueda ser más eficiente
la labor.
 No se cuenta con la
experiencia para crear
planes que ayuden a los
adelantos tecnológicos.
Nivel
2
La evolución de los cambios
tecnológicos se delega a individuos
que siguen procesos intuitivos, aunque
similares.
V
Nivel
3
Existe un plan de infraestructura
tecnológica definido, documentado y
bien difundido, aunque se aplica de
forma inconsistente.
V
Nivel
4
El área de informática cuenta con la
experiencia y las habilidades
necesarias para desarrollar un plan de
infraestructura tecnológica.
V
Nivel
5
La dirección del plan de infraestructura
tecnológica está impulsada por los
estándares y avances industriales e
internacionales, en lugar de estar
orientada por los proveedores de
tecnología.
V
RECOMENDACIONES:
 Analizar las tecnologías actuales en el mercado además de las emergentes para
crear estrategias.
 Crear planes estratégicos completos.

21. Dominio: Planificar y Organizar
PO4: Definir los Procesos, la Organización y las Relaciones de TI.
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
La función de TI se considera como
una función de soporte, sin una
perspectiva organizacional general.
V
GRADO DE MADUREZ:
El proceso de definir los
Procesos, la Organización y las
Relaciones de TI está en el nivel
de madurez 1.
OBJETIVOS NO CUMPLIDOS:
 Contar con una estructura
organizada donde TI
incluye todos los roles.
 Se cumple parcialmente
con sus objetivos.
Nivel
2
La necesidad de contar con una
organización estructurada, pero las
decisiones todavía depende del
conocimiento y habilidades de
individuos clave.
V
Nivel
3
Se formulan las relaciones con
terceros, incluyendo los comités de
dirección, auditoría interna y
administración de proveedores.
V
Nivel
4
La organización de TI responde de
forma proactiva al cambio e incluye
todos los roles necesarios para
satisfacer los requerimientos del
negocio.
V
Nivel
5
La estructura organizacional de TI es
flexible y adaptable.
V
RECOMENDACIONES:
 Que el departamento se adapte a la estructura organizacional de TI.
 Permitir la integración de todos los roles con el fin de crear una organización
mássólida.

22. Dominio: Planificar y Organizar
PO5: Administrar la Inversión de TI.
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
La organización reconoce la necesidad
de administrar la inversión de TI,
aunque esta necesidad se comunica
de manera inconsistente.
V
GRADO DE MADUREZ:
El proceso de Administrar la
Inversión de TI está en el nivel
de madurez 2.
OBJETIVOS NO CUMPLIDOS:
 No sé presupuesta la
inversión para manejar
márgenes.
 Falta de análisis de
costos para conocer la
inversión posible.
Nivel
2
Existe un entendimiento implícito de la
necesidad de seleccionar y
presupuestar las inversiones de TI.
V
Nivel
3
El presupuesto de TI está alineado con
los planes estratégicos de TI y con los
planes de negocio. Los procesos de
selección de inversiones en TI y de
presupuestos están formalizados,
documentados y comunicados.
V
Nivel
4
La responsabilidad y la rendición de
cuentas por la selección y
presupuestos de inversiones se
asignan a un individuo específico. Las
diferencias en el presupuesto se
identifican y se resuelven.
V
Nivel
5
Se utilizan las mejores prácticas de la
industria para evaluar los costos por
comparación e identificar la efectividad
de las inversiones. Se utiliza el análisis
de los avances tecnológicos en el
proceso de selección y presupuesto de
inversiones.
V
RECOMENDACIONES:
 Realizar estudios que permitan conocer las diferencias de costos a la hora de invertir
podría estimarse presupuesto para tal fin.

23. Dominio: Adquirir e Implementar
AI1: Identificar Soluciones Automatizadas
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
Existe una investigación o análisis
estructurado mínimo de la tecnología
disponible.
V
GRADO DE MADUREZ:
El proceso de Identificar
Soluciones Automatizadas está
en el nivel de madurez 3.
OBJETIVOS NO CUMPLIDOS:
 Fallas en la
documentación de los
proyectos.
 Inexistencia de
referencias solidas que
respalden la toma de
decisiones.
Nivel
2
El éxito de cada proyecto depende de
la experiencia de unos cuantos
individuos clave. La calidad de la
documentación y de la toma de
decisiones varía de forma
considerable.
V
Nivel
3
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
factores tales como las decisiones
tomadas por el personal involucrado,
la cantidad de tiempo administrativo
dedicado, y el tamaño y prioridad del
requerimiento de negocio original.
V
Nivel
4
La documentación de los proyectos es
de buena calidad y cada etapa se
aprueba adecuadamente.
V
Nivel
5
La metodología está soportada en
bases de datos de conocimiento
internas y externas que contienen
material de referencia sobre
soluciones tecnológicas.
V
RECOMENDACIONES:
 Realizar análisis y estudios y sumarlas a la experiencia en el ámbito para facilitar el
proceso de toma de decisiones.

24. Dominio: Adquirir e Implementar
AI2: Adquirir y Mantener Software Aplicativo
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
Es probable que se hayan adquirido en
forma independiente una variedad de
soluciones individuales para requerimientos
particulares del negocio, teniendo como
resultado ineficiencias en el mantenimiento y
soporte.
V
GRADO DE MADUREZ:
El proceso de Adquirir y
Mantener Software
Aplicativo está en el nivel
de madurez 2.
OBJETIVOS NO
CUMPLIDOS:
 No se cumplen un
proceso de
estudio previo a
la adquisición de
software.
 El software no son
flexibles ni
adaptables a
cambios.
Nivel
2
Existen procesos de adquisición y
mantenimiento de aplicaciones, con
diferencias pero similares, en base a la
experiencia dentro de la operación de TI.
V
Nivel
3
Existe un proceso claro, definido y de
comprensión general para la adquisición y
mantenimiento de software aplicativo. Este
proceso va de acuerdo con la estrategia de
TI y del negocio.
V
Nivel
4
Existe una metodología formal y bien
comprendida que incluye un proceso de
diseño y especificación, un criterio de
adquisición, un proceso de prueba y
requerimientos para la documentación.
V
Nivel
5
El enfoque se extiende para toda la empresa.
La metodología de adquisición y
mantenimiento presenta un buen avance y
permite un posicionamiento estratégico y
rápido, que permite un alto grado de reacción
y flexibilidad para responder a los
requerimientos cambiantes del negocio.
V
RECOMENDACIONES:
 Platean estudios más profundos a la hora de la adquisición de software.
 Garantizar la integridad accesibilidad y respaldo de la información.

25. Dominio: Adquirir e Implementar
AI3: Adquirir y Mantener Infraestructura Tecnológica
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
Se realizan cambios a la
infraestructura para cada nueva
aplicación, sin ningún plan en
conjunto. La actividad de
mantenimiento reacciona a
necesidades de corto plazo.
V
GRADO DE MADUREZ:
El proceso de Adquirir y
Mantener Infraestructura
Tecnológica está en el nivel de
madurez 4.
OBJETIVOS NO CUMPLIDOS:
 Definir una estrategia de
adquisición y
mantenimiento de la
infraestructura..
Nivel
2
La adquisición y mantenimiento de la
infraestructura de TI no se basa en
una estrategia definida y no considera
las necesidades de las aplicaciones
del negocio que se deben respaldar.
V
Nivel
3
El proceso respalda las necesidades
de las aplicaciones críticas del negocio
y concuerda con la estrategia de
negocio de TI, pero no se aplica en
forma consistente.
V
Nivel
4
La infraestructura de TI soporta
adecuadamente las aplicaciones del
negocio. El proceso está bien
organizado y es preventivo.
V
Nivel
5
El proceso de adquisición y
mantenimiento de la infraestructura de
tecnología es preventivo y está
estrechamente en línea con las
aplicaciones críticas del negocio y con
la arquitectura de la tecnología.
V
RECOMENDACIONES:
 Garantizar la disponibilidad de la infraestructura y mantener planes alternativos.

26. Dominio: Adquirir e Implementar
AI4: Facilitar la Operación y el Uso
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
Mucha de la documentación y muchos
de los procedimientos ya caducaron.
Los materiales de entrenamiento
tienden a ser esquemas únicos con
calidad variable.
V
GRADO DE MADUREZ:
El proceso de Facilitar la
Operación y el Uso está en el
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS:
 Los materiales de apoyo
no brindan son
anticuados y en muchos
casos inexistentes.
 No existe un estándar de
cómo realizar los
procesos.
Nivel
2
Individuos o equipos de proyecto
generan los materiales de
entrenamiento, y la calidad depende
de los individuales que se involucran.
V
Nivel
3
Se guardan y se mantienen los
procedimientos en una biblioteca
formal y cualquiera que necesite saber
tiene acceso a ella.
V
Nivel
4
Existen controles para garantizar que
se adhieren los estándares y que se
desarrollan y mantienen
procedimientos para todos los
procesos.
V
Nivel
5
Los materiales de procedimientos y de
entrenamiento se tratan como una
base de conocimiento en evolución
constante que se mantiene en forma
electrónica, como el uso de
administración de conocimientos
actualizada, workflow y tecnologías de
distribución, que los hacen accesibles
y fáciles de mantener.
V
RECOMENDACIONES:
 Creación de instructivos que permitan la transferencia de conocimiento.
 Documentar los aspectos técnicos y los niveles de servicios requeridos.

27. Dominio: Adquirir e Implementar
AI5: Adquirir Recursos de TI
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
Los contratos para la adquisición de
recursos de TI son elaborados y
administrados por gerentes de
proyectos y otras personas que
ejercen un juicio profesional más que
seguir resultados de procedimientos y
políticas formales.
V
GRADO DE MADUREZ:
El proceso de Adquirir Recursos
de TI está en el nivel de
madurez 2.
OBJETIVOS NO CUMPLIDOS:
 No existen estándares
para la adquisición de
recursos.
 Falta de relaciones
estratégicas con
posibles proveedores.
Nivel
2
Se determinan responsabilidades y
rendición de cuentas para la
administración de adquisición y
contrato de TI según la experiencia
particular del gerente de contrato.
V
Nivel
3
La adquisición de TI se integra en gran
parte con los sistemas generales de
adquisición del negocio.
V
Nivel
4
La adquisición de TIse integra en gran
parte con los sistemas generales de
adquisición del negocio. Existen
estándares de Ti para la adquisición
de recursos de TI.
V
Nivel
5
Se establecen buenas relaciones con
el tiempo con la mayoría de los
proveedores y socios, y se mide y
vigila la calidad de estas relaciones.
Se manejan las relaciones en forma
estratégicas.
V
RECOMENDACIONES:
 Implementar estrategias que permitan conocer los recursos más necesarios para
estandarizar la obtención de recursos.

28. Dominio: Entregar y Dar Soporte
DS1: Definir y Administrar los Niveles de Servicio
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
La responsabilidad y la rendición de
cuentas sobre para la definición y la
administración de servicios no está
definida.
V
GRADO DE MADUREZ:
El proceso de definir y
Administrar los Niveles de
Servicio está en el nivel de
madurez 1.
OBJETIVOS NO CUMPLIDOS:
 El proceso de desarrollo
de los niveles de
servicios no están
definidos.
 No se realizan planes a
largo plazo.
Nivel
2
Los reportes de os niveles de servicio
están incompletos y pueden ser
irrelevantes o engañosos para los
clientes. Los reportes de los niveles de
servicio dependen, en forma individual,
de las habilidades y la iniciativa de los
administradores.
V
Nivel
3
El proceso de desarrollo del acuerdo
de los niveles de servicio está en
orden y cuenta con puntos de control
para revalorar los niveles de servicio y
la satisfacción del cliente.
V
Nivel
4
La satisfacción del cliente es medida y
valorada de formas rutinaria. Las
medidas de desempeño reflejan las
necesidades del cliente, en lugar de
las metas de TI.
V
Nivel
5
Todos los procesos de administración
de niveles de servicio están sujetos a
mejora continua. Los niveles de
satisfacción del cliente son
administrados y monitoreados de
manera continua.
V
RECOMENDACIONES:
 Definir claramente los niveles de servicios y repartir las labores según el nivel de
conocimiento de quienes los desarrollan.

29. Dominio: Entregar y Dar Soporte
DS3: Administrar el Desempeño y la Capacidad
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
Los responsables de los procesos del
negocio valoran poco la necesidades
llevar a cabo una planeación de la
capacidad y del desempeño. Las
acciones para administrar el
desempeño la capacidad son
típicamente reactivas.
v
GRADO DE MADUREZ:
El proceso de Administrar el
Desempeño y la Capacidad está
en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS:
 Establecer métodos de
desempeño y
evaluación.
La infraestructura TI no
está sujeta a regulaciones
que permitan un
desempeño óptimo.
Nivel
2
Las necesidades de desempeño se
logran por lo general con base en
evaluaciones de sistemas individuales
y el conocimiento y soporte de equipos
de proyectos.
v
Nivel
3
Los pronósticos de la capacidad y
desempeño se modelan por medio de
un proceso definido. Los reportes se
generan con estadísticas de
desempeño.
v
Nivel
4
Hay información actualizada
disponible. Brindando estadísticas de
desempeño estandarizadas y
alertando sobre incidentes causados
por falta de desempeño o de
capacidad.
v
Nivel
5
La infraestructura de Ti y la demanda
del negocio están sujetas a revisiones
regulares para asegurar que se logre
una capacidad óptima con el menor
costo posible.
v
RECOMENDACIONES:
 Evaluar y monitorear la capacidad y el desempeño de quienes laboran.

30. Dominio: Entregar y Dar Soporte
DS4: Garantizar la Continuidad del Servicio
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
Las responsabilidades sobre la
continuidad de los servicios son
informales y la autoridad para ejecutar
responsabilidades es limitada.
V
GRADO DE MADUREZ:
El proceso de Garantizar la
Continuidad del Servicio está en
el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS:
 Mantener planes de
servicios continuos.
Nivel
2
Los reportes sobre la disponibilidad
son esporádicos, pueden estar
incompletos y no toman en cuenta el
impacto en el negocio.
V
Nivel
3
Las responsabilidades de la
planeación y de las pruebas de la
continuidad de servicios están
claramente asignadas y definidas.
V
Nivel
4
Se asigna la responsabilidad de
mantener un plan de continuidad de
servicios.
V
Nivel
5
Los procesos integrados de servicio
continuo toman en cuenta referencias
de la industria y las mejores prácticas
externas.
V
RECOMENDACIONES:
 Desarrollar planes de continuidad para así prever posibles fallas repetidas.

31. Dominio: Entregar y Dar Soporte
DS5: Garantizar la Seguridad de los Sistemas
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
La seguridad deTI se lleva a cabo de forma
reactiva. No se mide la seguridad de Ti. Las
brechas de seguridad de TI ocasionan
respuestas con acusaciones personales,
debido a que las responsabilidades no son
claras. Las respuestas a la brechas de
seguridad TI son impredecibles.
V
GRADO DE MADUREZ:
El proceso de Garantizar
la Seguridad de los
Sistemas está en el nivel
de madurez 3.
OBJETIVOS NO
CUMPLIDOS:
Elaborar planes de
seguridad.
 Ofrecer
instrucciones a los
usuarios sobre el
uso correcto de los
sistemas.
Nivel
2
La conciencia sobre la necesidad de la
seguridad fraccionada y limitada. Aunque los
sistemas producen información relevante
respecto a la seguridad, esto no se analiza.
V
Nivel
3
Las responsabilidades de la seguridad TI
están asignadas y entendidas, pero no
continuamente implementadas. Existe un
plan de seguridad de TI y existen soluciones
de seguridad motivadas por un análisis de
riesgo.
V
Nivel
4
El contacto con métodos para promover la
conciencia de la seguridad es obligatorio. La
identificación, la autenticación y la
autorización de los usuarios están
estandarizadas.
V
Nivel
5
Los usuarios y los clientes se
responsabilizan cada vez más de definir
requerimientos de seguridad, y las funciones
de seguridad están integradas con las
aplicaciones en la fase de diseño.
V
RECOMENDACIONES:
 Realizar y mantener planes de seguridad.
 Revisar periódicamente los sistemas de seguridad físicos y lógicos.

32. Dominio: Monitorear y Evaluar
ME1: Monitorear y Evaluar el Desempeño TI
Nivel de Madurez
Cumple
Nocumple
Observaciones
Nivel
1
Nos e han identificado procesos
estándar de recolección y evaluación. El
monitoreo se implanta y las métricas se
seleccionan de acuerdo a cada caso, de
acuerdo a las necesidades de proyectos
y procesos de TI específicos.
V
GRADO DE MADUREZ:
El proceso de Monitorear y
Evaluar el Desempeño TI está
en el nivel de madurez 1.
OBJETIVOS NO
CUMPLIDOS:
 Identificar los estándares
de evaluación.
Nivel
2
La interpretación de los resultados del
monitoreo se basa en la experiencia de
individuos clave.
V
Nivel
3
Las mediciones de la contribución de la
función de servicios de información al
desempeño de la organización se han
definido, usando criterios financieros y
operativos tradicionales.
V
Nivel
4
No hay integración de métricas a lo
largo de todos los proyectos y procesos
de TI. Los sistemas de reporte de la
administración de TI están formalizados.
V
Nivel
5
Las métricas impulsadas por el negocio
se usan de forma rutinaria para medir el
desempeño, y están integradas en los
marcos de trabajo estratégicos, tales
como el BalancedScorecard.
V
RECOMENDACIONES:
 Definir los estándares de evaluación y una vez echo eso evaluar el desempeño del
mismo periódicamente

33. Dominio: Monitorear y Evaluar
ME2: Monitorear y Evaluar el Control Interno
Nivel de Madurez
Cumple
No
cumple
Observaciones
Nivel
1
La gerencia de TI no ha asignado de
manera formal las responsabilidades
para monitorear la efectividad de los
controles internos.
V
GRADO DE MADUREZ:
El proceso de Monitorear y
Evaluar el Control Interno está
en el nivel de madurez 2.
OBJETIVOS NO
CUMPLIDOS:
 Establecer monitoreo
periódicos.
 Realizar programas de
entrenamiento para el
monitoreo del control
interno.
 Utilizar las herramientas
necesarias para el
control interno
Nivel
2
La gerencia de servicios de información
realiza monitoreo periódicos sobre la
efectividad de lo que considera
controles internos críticos. Se están
empezando a usar metodologías y
herramientas para monitorear los
controles internos.
V
Nivel
3
Se ha definido un programa de
educación y entrenamiento para el
monitoreo de control interno. Se ha
definido también un proceso para auto
evaluaciones y revisiones de seguro del
control interno, con los roles definidos
para los responsables de la
administración del negocio y de TI.
V
Nivel
4
Se han implantado herramientas para
estandarizar evaluaciones y para
detectar de forma automática las
excepciones de control. Se ha
establecido una función formal para el
control interno de TI, con profesionales
especializados y certificados que utilizan
un marco de trabajo de control formal
avalado por la alta dirección.
V
Nivel
5
La organización utiliza herramientas
integradas y actualizadas, que permiten
una evaluación efectiva de los controles
críticos de TI y una detección rápida de
incidentes de control de TI.
V
RECOMENDACIONES:
 Brindar ayuda acerca del control interno además de proporcionar herramientas que
hagan más fácil el mismo

34. Dominio: Monitorear y Evaluar
ME3: Garantizar el Cumplimiento Regulatorio
Nivel de Madurez
Cumple
No
cumple
Observaciones
Nivel
1
Se siguen procesos informales para
mantener el cumplimiento, pero solo si
la necesidad surge en nuevos proyectos
o como respuesta auditorías y
revisiones.
V
GRADO DE MADUREZ:
El proceso de Garantizar el
Cumplimiento Regulatorio está
en el nivel de madurez 1.
OBJETIVOS NO
CUMPLIDOS:
 Capacitar al personal
sobre las regulaciones.
 Solucionar las necesidades
aplicando las regulaciones.
Nivel
2
No existe, sin embargo, un enfoque
estándar. Hay mucha confianza en el
conocimiento y responsabilidad de los
individuos, y los errores son posibles.
V
Nivel
3
Se brinda entrenamiento sobre
requisitos legales y regulatorios
externos que afectan a la organización y
se instruye respecto a los procesos de
cumplimiento definidos.
V
Nivel
4
Las responsabilidades son claras y el
empoderamiento de los procesos es
entendido. El proceso incluye una
revisión del entorno para identificar
requerimientos externos y cambios
recurrentes.
V
Nivel
5
Hay un amplio conocimiento de los
requerimientos externos aplicables,
incluyendo sus tendencias futuras y
cambios anticipados así como la
necesidad de nuevas soluciones.
V
RECOMENDACIONES:
 Proporcionar la información acerca de los requerimientos y regulaciones pertinente
para brindar parámetros al desarrollo laboral

35. Dominio
Proceso
Nivelde
Madurez
Planificary
Organizar
PO1 Definir el plan estratégico de tecnología de información. 2
PO2 Definir la arquitectura de la información. 2
PO3 Determinar la dirección tecnológica. 2
PO4 Definir los procesos, la organización y las relaciones de TI. 1
PO5 Administrar la inversión de TI. 2
Adquirire
Implementar
AI1 Identificar las soluciones automatizadas. 3
AI2 Adquirir y mantener software aplicativo. 2
AI3 Adquirir y mantener infraestructura tecnológica. 4
AI4 Facilitar la operación y el uso. 1
AI5 Adquirir recursos de TI. 2
EntregaryDar
Soporte
DS1 Definir y administrar los niveles de servicios. 1
DS3 Administrar el desempeño y la capacidad. 1
DS4 Garantizar la continuidad del servicio. 2
DS5 Garantizar la seguridad de los sistemas. 3
Monitorear
yEvaluar
ME1 Monitorear y evaluar el desempeño de TI. 1
ME2 Monitorear y evaluar el control interno. 2
ME3 Garantizar el cumplimiento regulatorio. 1
Resumen de Análisis por Dominios:
Planificar y Organizar: Esta en un nivel intermedio sin alcanzar una
estabilidad que lo ayude a alcanzar el máximo potencial todo esto
sumado la deficiencia de algunas herramientas necesarias para
realizar ciertas tareas y desconocimiento de la importancia de
mantener una buena organización.

36. Adquirir e Implementar: Se observa un nivel muy bajo de madures a la
hora de adquirir cierto tipo de recursos que son necesarios
implementar para el desarrollo total de la empresa.
 Entregar y Dar Soporte: los niveles de madurez son no son los
esperados, aunque parcialmente se observa cierto seguimiento a las
problemáticas así como un nivel intermedio el cuanto a la seguridad
de los sistemas
 Monitorear y Evaluar: Este dominio muestra niveles extremadamente
bajos en el desarrollo y evaluación del control interno.

37. 2.2.3 RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTODOMINIO
PROCESOS
CRITERIOS DE INFORMACIÓN RECURSOS TI
NIVELDEMADUREZ
EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIODAD
PERSONA
APLICACIÓN
TECNOLOGÍA
INSTALACIONES
DATOS
PLANIFICARYORGANIZAR
PO1
Definir el plan estratégico de tecnología de
información.
0.83 0.5 x x x x x
Total real (Impacto * Nivel real) 2.49 1.5 2
Total Ideal (Impacto * Nivel ideal) 5 3 5
PO2 Definir la arquitectura de la información. 0.5 0.83 0.83 0.5 x x 2
Total real (Impacto * Nivel real) 1.5 2.49 2.49 1.5
Total Ideal (Impacto * Nivel ideal) 3 5 5 3
PO3 Determinar la dirección tecnológica. 0.83 0.83 x x
Total real (Impacto * Nivel real) 2.49 2.49 2
Total Ideal (Impacto * Nivel ideal) 5 5 5
PO4
Definir los procesos, la organización y las
relaciones de TI.
0.83 0.83 x
Total real (Impacto * Nivel real) 2.49 2.49 1
Total Ideal (Impacto * Nivel ideal) 5 5 5

38. PO5 Administrar la inversión de TI. 0.83 0.83 0.5 x x x
Total real (Impacto * Nivel real) 2.49 2.49 1 2
Total Ideal (Impacto * Nivel ideal) 5 5 3 5
ADQUIRIREIMPLEMENTAR
AI1 Identificar las soluciones automatizadas. 0.83 0.5 x x x
Total real (Impacto * Nivel real) 3.32 2 3
Total Ideal (Impacto * Nivel ideal) 5 3 5
AI2 Adquirir y mantener software aplicativo. 0.83 0.83 0.5 x x
Total real (Impacto * Nivel real) 2.49 2.49 1.5 2
Total Ideal (Impacto * Nivel ideal) 5 5 3 5
AI3
Adquirir y mantener infraestructura
tecnológica.
0.5 0.83 0.5 0.5 x
Total real (Impacto * Nivel real) 2.5 4.15 2.5 2.5 4
Total Ideal (Impacto * Nivel ideal) 3 5 3 3 5
AI4 Facilitar la operación y el uso. 0.83 0.83 0.5 0.5 0.5 0.5 x x x
Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1
Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 5
AI5 Adquirir recursos de TI. 0.5 0.83 0.5 x x x x x
Total real (Impacto * Nivel real) 1.5 2.49 1.5 2
Total Ideal (Impacto * Nivel ideal) 3 5 3 5
ENTREGARY
DARSOPORTE
DS1
Definir y administrar los niveles de
servicios.
0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x
Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1 1
Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5
DS3 Administrar el desempeño y la capacidad. 0.83 0.83 0.5 x x
Total real (Impacto * Nivel real) 1.66 1.66 1 1

39. Total Ideal (Impacto * Nivel ideal) 5 5 3 5
DS4 Garantizar la continuidad del servicio. 0.83 0.5 0.83 x x x x x
Total real (Impacto * Nivel real) 2.49 1.5 2.49 2
Total Ideal (Impacto * Nivel ideal) 5 3 5 5
DS5 Garantizar la seguridad de los sistemas. 0.83 0.83 0.5 0.5 0.5 x x x x x
Total real (Impacto * Nivel real) 3.32 3.32 2 2 2 3
Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 5
MONITOREARYEVALUAR
ME1 Monitorear y evaluar el desempeño de TI. 0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x
Total real (Impacto * Nivel real) 1.66 1.66 1 1 1 1 1 1
Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5
ME2 Monitorear y evaluar el control interno. 0.83 0.83 0.5 0.5 0.5 0.5 0.5 x x x x x
Total real (Impacto * Nivel real) 2.49 2.49 1.5 1.5 1.5 1.5 1.5 2
Total Ideal (Impacto * Nivel ideal) 5 5 3 3 3 3 3 5
ME3 Garantizar el cumplimiento regulatorio. 0.83 0.5 x x x x x
Total real (Impacto * Nivel real) 1.66 1 1
Total Ideal (Impacto * Nivel ideal) 5 3 5
2.2.4 RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN
Total real (Impacto * Nivel real) 32.89 33.22 8.48 11.32 13.49 10.49 9.5
Total Ideal (Impacto * Nivel ideal) 69 69 19 23 29 23 21
Porcentaje Alcanzado 47.66 48.14 44.63 49.21 46.51 45.60 45.23

40. Efectividad: Para este criterio de información se obtuvo un porcentaje
47.66% sobre 100%, es decir, que la información que es de
importancia para Rattan Hypermarket, C.A; que tiene incidencia en los
procesos del negocio y debe ser entregada de forma oportuna,
consistente, y veraz tiene un porcentaje del 47.66%.
Eficiencia: Para este criterio de información se obtuvo un porcentaje del
48.14% sobre el 100%, es decir que la información que debe generar
el uso del óptimo de los recursos de Rattan Hypermarket, C.A, tiene
un porcentaje del 48.14%.
Confidencialidad: Para este criterio de información se obtuvo un
porcentaje del 44.63% sobre el 100%, es decir, que la protección de
Rattan Hypermarket, C.A, para que esta no sea divulgada a personas
o sectores extraños a este tiene un porcentaje del 44.63%.
Integridad: Para este criterio de información se obtuvo un porcentaje del
49.21% sobre el 100%, es decir, la distribución de la información
exacta y correcta, así con su validez con las expectativas de la
empresa tiene un porcentaje del 49.21%.
Disponibilidad: Para este criterio de la información obtuvo un porcentaje
del 46.51% sobre el 100%, es decir, la accesibilidad de la información
cuando esta sea requerida por los procesos de negocio y a la
salvaguarda de los recursos y capacidades asociadas a la misma en
Rattan Hypermarket, C.A, tiene un porcentaje del 46.51%.
Cumplimiento: Para este criterio de la información se obtuvo un
porcentaje del 45.60% sobre 100%, es decir que el cumplimiento de
las leyes, regulaciones, y compromisos contractuales con los cuales

41. está comprometidos Rattan Hypermarket, C.A, tiene un porcentaje del
45.60%.
Confiabilidad: Para este criterio de la información se obtuvo un
porcentaje del 45.23% sobre el 100%, es decir, proveer la información
apropiada para que la administración tome decisiones adecuadas para
manejar Rattan Hypermarket, C.A, y cumplir con sus
responsabilidades, tiene un porcentaje del 45.23%.
2.2.5 GRÁFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS
DE INFORMACIÓN
42
43
44
45
46
47
48
49
50
IMPACTO SOBRE LOS CRITERIOS DE LA
INFORMACIÓN

43. 3.2 INFORME EJECUTIVO
COBIT recomienda 34 procesos para ser evaluados en las auditorías,
pero en este informe ejecutivo se detallaran los resultados 17 procesos más
importantes seleccionadas para abarcar ámbitos específicos. Los criterios de
información se encuentran en el siguiente porcentaje todo sobre el 100%.
La efectividad consiste en que la información relevante sea entregada
de forma oportuna, correcta, consistente y utilizable, este criterio tiene un
promedio del 47,66%.
Criterio de la Información: Efectividad
Efectividad
Defícit
52,34% 47,66%

44. La eficiencia consiste en que la información debe ser generada
optimizando los recursos, este criterio tiene un promedio del 48,14%.
La confidencialidad consiste en que la información vital sea protegida
contra la revelación no autorizada, este criterio tiene un promedio del
44,63%.
Criterio de Información: Eficiencia
Eficiencia
Defícit
48,14%51.86%
Criterio de Información: Integridad
Confidencialidad
Defícit
55,37% 44,63%

45. La integridad consiste en que la información debe ser precisa, completa
y valida, este criterio tiene un promedio del 49,21%.
Criterio de Información: Integridad
Integridad
Defícit
50,79%
Criterio de Información: Disponibilidad
Disponibilidad
Defícit
53,49% 46,51%
49,21%

46. La disponibilidad consiste en que la información esté disponible cundo
esta sea requerida por parte de las áreas del negocio en cualquier momento,
este criterio tiene un promedio del 32,96%.
El cumplimiento consiste en que se debe respetar las leyes,
reglamentos y acuerdos contractuales a los que está sujeta el proceso del
negocio, como políticas internas, ese criterio un promedio del 45,6%.
Criterio de Información: Cumplimiento
Cumplimiento
Defícit
54,4% 45,6%
Criterio de Información: Confiabilidad
Confiabilidad
Defícit
54,77% 45,23%

47. La confiabilidad consiste en que debe respetar, proporcionar la
información apropiada, con el fin de que la gerencia general administre la
entidad, este criterio tiene un promedio del 45,23%.